Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Jak w zgodzie z przepisami używać kopii zapasowych i archiwalnych?

14-09-2018 Autor: Maciej Kołodziej

Wykonywanie kopii zapasowych i przechowywanie informacji w odpowiednio zabezpieczonych archiwach jest ważnym obowiązkiem administratorów danych osobowych. Osoby odpowiedzialne za ochronę informacji mają świadomość, że utrata danych może wiązać się z poważnymi stratami biznesowymi czy wizerunkowymi, a zarazem może być uznana za naruszenie przepisów rodo.

 

Nadal jednak wiele osób decydujących o wdrożeniu rozwiązań backupowych, analizując obowiązujące przepisy, planując wydatki na systemy informatyczne oraz podejmując decyzje organizacyjne, zadaje sobie pytania:

  • Czy należy wykonywać kopie zapasowe i które dane powinny się w nich znaleźć?
  • Czy obecne przepisy definiują wymagania dotyczące tworzenia kopii danych osobowych?
  • Czy można przechowywać kopie zapasowe i dane w archiwach poza granicami Polski?

Administratorzy danych uznają niekiedy kopie zapasowe za nieistotną część systemu ochrony informacji, mimo że ich wykonywanie stało się konieczne. Przekonują do tego doświadczenia administratorów oraz publikowane w mediach informacje o stratach ponoszonych w związku z, często bezpowrotną, utratą niewłaściwie chronionych danych oraz incydentach związanych z niewłaściwym zabezpieczeniem przetwarzanych danych.

Statystyka skuteczności systemów kopii zapasowych

Prawie wszyscy użytkownicy usług kopii zapasowych i archiwów elektronicznych twierdzą, że wykonują kopie zapasowe. Ponad połowa deklaruje, że dane kopiuje codziennie, 20% zabezpiecza kopie raz w tygodniu lub rzadziej, a około 10% systemów zostało tak skonfigurowanych, aby kopiować dane nawet kilka razy dziennie lub w trybie ciągłego zapisu. Aby właściwie zaplanować harmonogram tworzenia kopii zapasowych, warto przeprowadzić analizę potrzeb i zagrożeń. Najczęściej jednak harmonogram powstaje na podstawie dostępnych rozwiązań technicznych, zasobów systemu (rozmiar miejsca przeznaczonego na składowanie danych) oraz decyzji kierownika zespołu IT.

Odzyskiwanie informacji z systemów kopii zapasowych najczęściej spowodowane jest awarią sprzętu (58% przypadków) lub błędem ludzkim (20%).

Uszkodzenie danych przez niewłaściwie działające oprogramowanie to około 12% przypadków, a 8% to zdarzenia losowe. Na uwagę zasługuje fakt, że 30% prób odzyskania danych kończy się niepowodzeniem, które może wynikać z braku kontroli poprawności wykonania kopii zapasowych, czyli błędu proceduralnego skutkującego brakiem zachowanych informacji lub ich wadami. Wskazane jest więc korzystanie z systemów pozwalających, niezwłocznie po przygotowaniu kopii danych, sprawdzić jakość danych przez ich odtworzenie i porównanie z informacjami źródłowymi. Nie jest to jednak zawsze możliwe, ponieważ odzyskiwanie danych to proces wymagający czasu i dodatkowych zasobów. W związku z tym zalecane jest wykonywanie kontroli odzyskiwania przynajmniej dla danych o istotnym znaczeniu dla administratora, w tym dla danych osobowych.

Zabezpieczanie informacji

Jednym z obowiązków administratorów danych osobowych jest stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających właściwe, odpowiednie do sposobu przetwarzania zabezpieczenie danych osobowych przed utratą, uszkodzeniem lub zniszczeniem. Administrator, dbając o poufność, integralność i dostępność danych oraz rozliczalność operacji, ma także zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, co może być realizowane między innymi w procesach kopii zapasowych, które (ze względu na zasadę rozliczalności zawartą w rodo) należy odpowiednio udokumentować i uzasadnić stosowane mechanizmy i procedury.

Cechy informacji:

Poufność

Odnosi się do konieczności zapewnienia ochrony przed nieuprawnionym dostępem do informacji i możliwością zapoznania się z ich treścią. Przy planowaniu sposobu działania systemów tworzących kopie zapasowe należy podjąć decyzję o tym, jak zapewnić poufności danych. Z punktu widzenia bezpieczeństwa informacji warto rozważyć stosowanie obowiązkowego szyfrowania zawartości kopii danych, aby zmniejszyć ryzyko zapoznania się z treścią przechowywanych informacji, bezpośrednio na nośnikach danych, przez osoby nieuprawnione (niemające odpowiednich uprawnień). Jeśli dane na nośnikach zapasowych i archiwalnych nie będą dodatkowo szyfrowane, należy zadbać, aby przynajmniej ich transmisja pomiędzy systemami źródłowymi i kopii była chroniona metodami kryptograficznymi.

[...]

Autor jest wiceprezesem Stowarzyszenia SABI, konsultantem ds. ochrony danych osobowych, bezpieczeństwa informacji i systemów IT, specjalistą informatyki śledczej oraz audytorem wiodącym ISO/EIC 27001.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.